CN108028847A - 互联网连接设备、中央管理服务器和互联网连接方法 - Google Patents
互联网连接设备、中央管理服务器和互联网连接方法 Download PDFInfo
- Publication number
- CN108028847A CN108028847A CN201680056458.6A CN201680056458A CN108028847A CN 108028847 A CN108028847 A CN 108028847A CN 201680056458 A CN201680056458 A CN 201680056458A CN 108028847 A CN108028847 A CN 108028847A
- Authority
- CN
- China
- Prior art keywords
- network
- dns
- name server
- domain name
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/088—Access security using filters or firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/128—Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Technology Law (AREA)
Abstract
公开了一种互联网连接设备、中央管理服务器以及互联网连接方法。这里,互联网连接设备是连接到用户终端和互联网的互联网连接设备,该互联网连接设备包括:伪造和篡改检测单元,所述伪造和篡改检测单元用于将从用户终端接收的域名服务器(DNS)查询的目的地IP地址改变为所述伪造和篡改检测单元预先知晓的可靠的域名服务器(DNS)的IP地址;以及互联网连接单元,所述互联网连接单元用于向互联网发送包括所述可靠的域名服务器(DNS)的IP地址的域名服务器(DNS)查询。
Description
技术领域
本发明涉及网络连接设备、中央管理服务器和互联网连接方法。
背景技术
普通家庭的传统网络环境可能通过共享设备、PC黑客或感染恶意软件而与欺骗网站相连接,从而造成资金损失,或者由于证书或个人信息的暴露而可能面临额外的金融事务风险。
用于解决这种问题的现有安全产品(例如,疫苗或防火墙)专注于检测或阻止恶意软件的感染。
但是,恶意软件的检测和阻止因其品种数量庞大而受到限制,恶意软件在产生损害后会被检测或处理。
在本背景技术部分中公开的上述信息仅用于增强对本发明背景的理解,因此它可能包含不构成本国本领域普通技术人员已知的现有技术的信息。
发明内容
技术目的
本发明致力于提供一种网络连接设备、中央管理服务器和网络连接方法,用于当从受感染的用户终端接收到域名服务器(DNS)查询时阻止与伪造和篡改的域名服务器(DNS)连接并绕至可靠的域名服务器(DNS)。
技术方案
本发明的示例性实施方式提供了一种连接到用户终端和网络的网络连接设备,该网络连接设备包括:伪造和篡改检测器,所述伪造和篡改检测器用于利用预先已知并且可靠的域名服务器(DNS)的IP地址来改变从所述用户终端接收的DNS查询的目的地IP地址;和网络连接器,所述网络连接器用于将包括所述可靠的DNS的IP地址的DNS查询发送到所述网络。
所述伪造和篡改检测器可以测试所述域名服务器(DNS)查询的目的地IP地址以确定所述目的地IP地址是否是所述可靠的域名服务器DNS的IP地址,如果不是,所述伪造和篡改检测器将所述目的地IP地址改变为所述可靠的域名服务器(DNS)的IP地址。
在所述网络连接器发送所述域名服务器(DNS)查询之后,所述伪造和篡改检测器将所述域名服务器(DNS)查询的传输信息发送到中央管理服务器。
所述网络连接器可以通过加密通信将由所述伪造和篡改检测器提供的所述传输信息发送到所述中央管理服务器。
所述伪造和篡改检测器向所述中央管理服务器发送包括所述域名服务器(DNS)查询的事务ID、查询名称和源端口的传输信息。
所述伪造和篡改检测器可以生成所述传输信息作为散列信息,并可以将所生成的传输信息发送到所述中央管理服务器。
所述伪造和篡改检测器可以确定所述域名服务器(DNS)查询是否从所述中央管理服务器被正常发送到所述可靠的域名服务器(DNS),并且如果没有被正常地发送,所述伪造和篡改检测器阻止所述用户终端访问所述网络。
所述伪造和篡改检测器可以绕过由所述用户终端提供的超文本传输协议请求,并响应于所述超文本传输协议请求向所述用户终端发送用于通知所述域名服务器(DNS)的IP地址被伪造和篡改的通知页面。
所述网络连接设备还可以包括:终端访问单元,所述终端访问单元通过电缆连接到所述用户终端以发送和接收数据,接收所述域名服务器(DNS)查询,并将所接收的域名服务器(DNS)查询输出到所述伪造和篡改检测器,其中,所述网络连接器通过电缆连接到所述网络或通过电缆连接到访问所述网络的网络访问设备。
所述网络连接设备还可以包括终端访问单元,所述终端访问单元通过电缆连接到所述用户终端以发送和接收数据,接收所述域名服务器(DNS)查询,并将所接收的域名服务器(DNS)查询输出到所述伪造和篡改检测器,其中,所述网络连接器通过无线通信连接到访问所述网络的网络访问设备。
所述网络连接设备还可以包括终端访问单元,所述终端访问单元以无线方式连接到所述用户终端以发送和接收数据,接收所述域名服务器(DNS)查询,并将所接收的域名服务器(DNS)查询输出到所述伪造和篡改检测器,其中,所述网络连接器可以连接到通过无线通信访问所述网络的网络访问设备。
网络连接设备还可以包括:存储器,所述存储器用于形成加密存储空间;和存储访问控制器,所述存储访问控制器用于在从所述用户终端接收到包括访问所述存储器的请求的协议请求分组时,确定包括在所述协议请求分组中的URL和目的地IP地址是否与可靠的正常网站对应;以及在包括在所述协议请求分组中的URL和目的地IP地址与可靠的正常网站对应时,准许访问所述存储器的请求。
网络连接设备可以被实现为小型便携式设备。
网络连接设备可以被实现为网络访问设备的用于允许访问所述网络的附加配置。
本发明的另一个实施方式提供了一种中央管理服务器,该中央管理服务器包括:收集器,所述收集器用于收集由可靠的域名服务器(DNS)接收的域名服务器(DNS)查询分组的信息;控制器,所述控制器用于通过有线或无线通信从连接到用户终端的网络连接设备接收域名服务器(DNS)查询的传输信息,并比较收集到的信息和传输信息以确定由所述网络连接设备发送的域名服务器(DNS)查询分组是否由可靠的域名服务器(DNS)正常地接收;和通信器,所述通信器用于从所述网络连接设备接收所述域名服务器(DNS)查询的传输信息,将所述传输信息发送到所述控制器,并且将所述控制器的确定结果通知给所述网络连接设备。
所述可靠的域名服务器(DNS)可以连接到用于监视通信路径上的业务的测试访问端口(TAP)设备,并且所述收集器收集来自所述TAP设备的域名服务器(DNS)查询分组的信息。
所述通信器可以与所述网络连接设备执行加密通信以接收包括所述域名服务器(DNS)查询的事务ID、查询名称和源端口的传输信息。
本发明的又一个实施方式提供了一种连接到用户终端与网络的网络连接设备的网络连接方法,该方法包括以下步骤:允许所述网络连接设备从所述用户终端接收域名服务器(DNS)查询;和通过所述网络将所述域名服务器(DNS)查询发送到预先知晓并且可靠的域名服务器(DNS)的IP地址。
网络连接方法还可以包括:测试所述域名服务器(DNS)查询的目的地IP地址;确定所述目的地IP地址是否是所述可靠的域名服务器(DNS)的IP地址;并且当所述IP地址不是所述可靠的域名服务器(DNS)的IP地址时,将所述目的地IP地址改变为所述可靠的域名服务器(DNS)的IP地址。
网络连接方法还可以包括以下步骤:在通过所述网络传输以后:将所述域名服务器(DNS)查询的传输信息发送到中央管理服务器;确定所述域名服务器(DNS)查询是否从所述中央管理服务器被正常发送至所述可靠的域名服务器(DNS);并且当确定没有被正常发送时,阻止所述用户终端访问所述网络。
该阻止可以包括以下步骤:绕过从所述用户终端接收的超文本传输协议请求,并且响应于所述超文本传输协议请求,向所述用户终端发送用于通知所述域名服务器(DNS)的IP地址被伪造和篡改的通知页面。
所述网络连接方法还可以包括以下步骤:在所述阻止之后:从所述用户终端接收包括访问作为加密存储空间的存储器的请求的协议请求分组;确定所述协议请求分组的URL和目的地IP地址是否与可靠的正常网站对应;并且当它们与所述正常网站对应时,准许访问所述存储器的请求,并且当它们与所述正常网站不对应时,拒绝访问所述存储器的请求。
技术效果
根据本发明的示例性实施方式,当尝试访问网络的终端被恶意软件感染并且接收到篡改的域名服务器(DNS)查询时,终端被检测并绕到正常的域名服务器(DNS)由此导致访问正常站点,从而提供安全的金融事务环境。
此外,作为用于访问存储在应用加密的安全空间中的重要信息的方法,确定是否存在对正常站点的访问,由此准许访问,从而防止重要信息泄露。
附图说明
图1示出了根据本发明的示例性实施方式的网络连接系统的示意图。
图2示出了根据本发明的另一示例性实施方式的网络连接系统的示意图。
图3示出了根据本发明的示例性实施方式的网络连接设备到外围设备的连接配置。
图4示出了根据本发明的示例性实施方式的网络连接设备的内部配置的框图。
图5示出了根据本发明的示例性实施方式的中央管理服务器的内部配置的框图。
图6示出了根据本发明的示例性实施方式的网络连接方法的流程图。
图7示出了根据本发明的另一示例性实施方式的网络连接方法的流程图。
图8示出了根据本发明的另一示例性实施方式的网络连接方法的流程图。
图9示出了根据本发明的另一示例性实施方式的网络连接方法的流程图。
具体实施方式
在下面的详细描述中,简单地通过例示的方式仅示出和描述了本发明的特定示例性实施方式。如本领域技术人员将认识到的,所描述的实施方式可以以各种不同的方式进行修改,所有这些修改都不脱离本发明的精神或范围。因此,附图和描述在本质上被认为是说明性的而非限制性的,并且在整个说明书中相同的附图标记表示相同的元件。
除非明确地进行相反描述,否则词语“包括”和诸如“包含”或“包含有”的变型将被理解为暗示包含所述的元件但不排除任何其它元件。
说明书中描述的后缀“器”和“件”以及术语“模块”意味着用于处理至少一个功能和操作的单元,并且可以通过硬件或软件及其组合来实现。
现在将参照附图详细描述根据本发明的示例性实施方式的网络连接设备、中央管理服务器和网络连接方法。
图1示出了根据本发明的示例性实施方式的网络连接系统的示意图,图2示出了根据本发明的另一示例性实施方式的网络连接系统的示意图。
参照图1和图2,用户终端100以有线或无线的方式连接到网络连接设备200。
如图1所示,网络连接设备200连接到网络300,或者如图2所示,网络连接设备200通过网络访问设备800连接到网络300。
用户终端100可以是诸如膝上型电脑或PC之类的终端。用户终端100发送域名服务器(DNS)查询以访问诸如金融事务站点之类的网站。
网络连接设备200将由用户终端100提供的域名服务器(DNS)查询的目的地IP地址改变为预先已知且可靠的域名服务器(DNS)500的目的地IP地址。网络连接设备200将改变的域名服务器(DNS)查询发送到网络300。
另一方面,当从用户终端100接收到域名服务器(DNS)查询时,网络连接设备200测试域名服务器(DNS)查询的目的地IP地址。当目的地IP地址不是已知且可靠的域名服务器(DNS)的IP地址时,网络连接设备200将目的地IP地址改变为可靠的域名服务器(DNS)的IP地址。网络连接设备200将改变的域名服务器(DNS)查询发送到网络300。
网络300连接到中央管理服务器400、至少一个可靠的域名服务器(DNS)500和篡改的域名服务器(DNS)600。当用户终端100被恶意软件感染而将域名服务器(DNS)查询发送到篡改的域名服务器(DNS)600时,网络连接设备200将目的地IP地址改变为可靠的域名服务器(DNS)的地址,因此到域名服务器(DNS)的连接可以被阻止。
中央管理服务器400是用于在网络连接设备200改变目的地IP地址之后防止域名服务器(DNS)查询被网络设备拦截的配置。也就是说,中央管理服务器400通过测试访问端口(TAP)设备700来监视通信路径上的可靠域名服务器(DNS)的业务。中央管理服务器400确定由网络连接设备200发送的域名服务器(DNS)查询是否被正常地发送到域名服务器(DNS)500。中央管理服务器400将确定结果发送到网络连接设备200。
网络连接设备200根据确定结果来确定用户终端100的网络访问状态。
网络连接设备200可以被实现为小型便携式设备,或者网络连接设备200可以被实现为网络访问设备(未示出)的附加配置。这里,网络访问设备800可以是诸如L1/L2/L3交换机、接入点(AP)或网络调制解调器的网络设备。
图3示出了根据本发明的示例性实施方式的网络连接设备到外围设备的连接配置。
参照图3,网络连接设备200通过电缆900连接到用户终端100,并且以无线方式连接到接入点800。在无线情况下,它可以遵循诸如无线保真(WiFi)之类的无线局域网标准。
此外,电缆可以是非屏蔽双绞线(UTP)电缆或通用串行总线(USB)电缆。
网络连接设备200可以通过包括UTP电缆或USB电缆的电缆900连接到用户终端100,并且网络连接设备200可以通过包括UTP电缆的电缆900连接到接入点800。
网络连接设备200可以通过局域网(LAN)连接到用户终端100,并且网络连接设备200可以通过无线LAN(WLAN)连接到接入点800。
例如,网络连接设备200可以通过UTP电缆连接到用户终端100,并且网络连接设备200可以通过UTP电缆连接到接入点800。
另一方面,网络连接设备200可以通过USB电缆连接到用户终端100,并且网络连接设备200可以通过WiFi连接而连接到接入点800。
另一方面,网络连接设备200可以通过UTP电缆连接到用户终端100,并且网络连接设备200可以通过WiFi连接而连接到接入点800。
另一方面,网络连接设备200可以通过WiFi连接而连接到用户终端100,并且网络连接设备200可以通过WiFi连接而连接到接入点800。
图4示出了根据本发明的示例性实施方式的网络连接设备的内部配置的框图。
参照图4,网络连接设备200包括终端访问单元201、伪造和篡改检测器203、网络连接器205、存储访问控制器207和存储器209。
终端访问单元201通过电缆或无线LAN连接到用户终端100以发送/接收数据,接收域名服务器(DNS)查询,并将其输出到伪造和篡改检测器203。
当从用户终端100接收到域名服务器(DNS)查询时,伪造和篡改检测器203将其改变为预先知晓并且可靠的域名服务器(DNS)的IP地址。
在这种情况下,伪造和篡改检测器203可以测试由用户终端100提供的域名服务器(DNS)查询的目的地IP地址以确定该目的地IP地址是否是可靠的域名服务器(DNS)的IP地址,如果不是,则可以将该目的地IP地址改变为可靠的域名服务器(DNS)500的IP地址。
在网络连接器205发送域名服务器(DNS)查询之后,伪造和篡改检测器203将域名服务器(DNS)查询的传输信息发送到中央管理服务器400。在这种情况下,伪造和篡改检测器203可以发送包括域名服务器(DNS)查询的事务ID、查询名称和源端口的传输信息。
伪造和篡改检测器203可以将传输信息生成为散列信息,并且可以将其发送到中央管理服务器400。
伪造和篡改检测器203确定域名服务器(DNS)查询是否从中央管理服务器400被正常地发送到可靠的域名服务器(DNS)400。如果没有被正常地发送,则伪造和篡改检测器203阻止用户终端100访问网络。
伪造和篡改检测器203绕过由用户终端100提供的超文本传输协议(HTTP)请求。伪造和篡改检测器203响应于超文本传输协议(HTTP)请求向用户终端100发送用于通知域名服务器(DNS)的IP地址被伪造和篡改的通知页面。
网络连接器205将包括可靠的域名服务器(DNS)500的IP地址的域名服务器(DNS)查询发送到网络300。
网络连接器205通过加密通信连接到中央管理服务器400,并将由伪造和篡改检测器203提供的域名服务器(DNS)查询的传输信息发送到中央管理服务器400。
当从用户终端100接收包括对存储器209的访问请求的传输控制协议(TCP)或用户数据报协议(UDP)请求分组时,存储访问控制器207确定请求分组的URL和目的地IP地址是否与可靠的正常网站对应。当它们与正常网站对应时,存储访问控制器207准许访问存储器209的请求。可以通过确定请求分组中包括的目的地IP地址是否与对应于从可靠的域名服务器(DNS)500获取的URL的IP地址匹配来确定它们是否与正常的网站对应。
存储器209形成加密的存储空间。
图5示出了根据本发明的示例性实施方式的中央管理服务器的内部配置的框图。
参照图5,中央管理服务器400包括通信器401、控制器403和收集器405。
通信器401通过加密信道连接到网络连接设备200。通信器401从网络连接设备200接收域名服务器(DNS)查询的传输信息,并将其发送到控制器403。通信器401通知网络连接设备200由控制器403确定的结果。
控制器403从网络连接设备200接收域名服务器(DNS)查询的传输信息。这里,传输信息可以包括域名服务器(DNS)查询的事务ID、查询名称和源端口。
控制器403比较收集器405从可靠的域名服务器(DNS)500收集的信息和从网络连接设备200接收的传输信息,以确定由网络连接设备200发送的域名服务器(DNS)查询分组是否被正常地提供给可靠的域名服务器(DNS)500。
收集器405通过连接到可靠的域名服务器(DNS)500的TAP设备(图1的700)收集发送到可靠的域名服务器(DNS)500的域名服务器(DNS)查询分组的信息,并且监视通信路径上的业务。
现在将基于上述配置来描述网络连接方法。
图6示出了根据本发明的示例性实施方式的网络连接方法的流程图。
参照图6,用户终端100向网络连接设备200发送域名服务器(DNS)查询(S101)。
网络连接设备200将在S101中接收到的域名服务器(DNS)查询的目的地IP地址改变为预先已知且可靠的域名服务器(DNS)500的IP地址(S103)。
网络连接设备200将具有在S103中改变的目的地IP地址的域名服务器(DNS)查询发送到可靠的域名服务器(DNS)500(S105)。
图7示出了根据本发明的另一示例性实施方式的网络连接方法的流程图。
参照图7,用户终端100向网络连接设备200发送域名服务器(DNS)查询(S201)。
网络连接设备200测试域名服务器(DNS)查询的目的地IP地址(S203)。网络连接设备200确定目的地IP地址是否是可靠的域名服务器(DNS)500的IP地址(S205)。
在这种情况下,当目的地IP地址是可靠的域名服务器(DNS)500的IP地址时,网络连接设备200将在S201中接收到的域名服务器(DNS)查询发送到可靠的域名服务器(DNS)500(S207)。
当目的地IP地址不是可靠的域名服务器(DNS)500的IP地址时,网络连接设备200将域名服务器(DNS)查询的目的地IP地址改变为可靠的域名服务器(DNS)500的IP地址(S209)。网络连接设备200通过网络300将包括改变后的IP地址的域名服务器(DNS)查询发送到可靠的域名服务器(DNS)500(S211)。
图8示出了根据本发明的另一示例性实施方式的网络连接方法的流程图。
参照图8,网络连接设备200将域名服务器(DNS)查询的传输信息发送到中央管理服务器400(S301)。
中央管理服务器400从可靠的域名服务器(DNS)500收集域名服务器(DNS)查询分组的信息(S303)。
中央管理服务器400比较在S301中接收到的传输信息和在S303中收集的信息(S305),并将比较结果信息发送到网络连接设备200(S307)。
网络连接设备200基于在S307中接收到的结果信息来确定域名服务器(DNS)查询是否被可靠的域名服务器(DNS)正常地接收(S309)。
在这种情况下,当被正常接收时,该阶段前往S301。
当未被正常接收时,网络连接设备200确定已经发生伪造和篡改,例如域名服务器(DNS)查询已经被网络设备拦截。因此,当从用户终端100接收到超文本传输协议(HTTP)请求分组时(S311),网络连接设备200阻止请求分组(S313)。网络连接设备200向用户终端100发送用于通知已经发生伪造和篡改的通知页面(S315)。
图9示出了根据本发明的另一示例性实施方式的网络连接方法的流程图,具体示出了图4的存储访问控制器207的操作。
参照图9,当接收到UDP请求分组或TCP请求分组时(S401),存储访问控制器207确定域名服务器(DNS)是否被伪造(S403)。也就是说,存储访问控制器207确定域名服务器(DNS)的IP地址是否被确定为在图7和图8中被伪造和篡改。
例如,当在用户终端100的网页浏览器上输入URL地址www.AA.com以便访问00银行时,所发送的分组包括URL信息www.AA.com和目的地IP地址。在这种情况下,一对URL和目的地IP被确定为是有效的。在访问国内银行网站时使用外国IP的情况下,IP不是正常DNS所响应的IP,而是不同的IP,因此这被确定为是伪造和篡改的情况。
在这种情况下,当未被伪造和篡改时,准许通过UDP请求分组或TCP请求分组访问存储器209(S405)。也就是说,当UDP请求分组或TCP请求分组请求读取证书时,准许读取存储在存储器209中的证书。
当伪造和篡改时,拒绝访问存储器209(S407)。
除了通过上述装置和/或方法之外,通过本领域技术人员容易实现的用于实现与实施方式的配置相对应的功能的程序或用于记录程序的记录介质,也可以实现上述实施方式。
尽管已经结合目前认为是实际的示例性实施方式描述了本发明,但是应该理解的是,本发明不限于所公开的实施方式,而是相反,旨在覆盖包括在所附权利要求的精神和范围内的各种修改和等同布置。
Claims (22)
1.一种连接到用户终端和网络的网络连接设备,该网络连接设备包括:
伪造和篡改检测器,所述伪造和篡改检测器用于利用预先知晓并且可靠的域名服务器DNS的IP地址来改变从所述用户终端接收的域名服务器DNS查询的目的地IP地址;和
网络连接器,所述网络连接器用于将包括所述可靠的域名服务器DNS的IP地址的域名服务器DNS查询发送到所述网络。
2.根据权利要求1所述的网络连接设备,其中,
所述伪造和篡改检测器测试所述域名服务器DNS查询的目的地IP地址以确定所述目的地IP地址是否是所述可靠的域名服务器DNS的IP地址,如果不是,则所述伪造和篡改检测器将所述目的地IP地址改变为所述可靠的域名服务器DNS的IP地址。
3.根据权利要求2所述的网络连接设备,其中,
在所述网络连接器发送所述域名服务器DNS查询之后,所述伪造和篡改检测器将所述域名服务器DNS查询的传输信息发送到中央管理服务器。
4.根据权利要求3所述的网络连接设备,其中,
所述网络连接器通过加密通信将由所述伪造和篡改检测器提供的所述传输信息发送到所述中央管理服务器。
5.根据权利要求4所述的网络连接设备,其中,
所述伪造和篡改检测器向所述中央管理服务器发送包括所述域名服务器DNS查询的事务ID、查询名称和源端口的传输信息。
6.根据权利要求5所述的网络连接设备,其中,
所述伪造和篡改检测器生成所述传输信息作为散列信息并将所生成的传输信息发送到所述中央管理服务器。
7.根据权利要求3所述的网络连接设备,其中,
所述伪造和篡改检测器确定所述域名服务器DNS查询是否从所述中央管理服务器被正常发送到所述可靠的域名服务器DNS,并且如果所述域名服务器DNS查询没有被正常地发送,则所述伪造和篡改检测器阻止所述用户终端访问所述网络。
8.根据权利要求7所述的网络连接设备,其中,
所述伪造和篡改检测器绕过由所述用户终端提供的超文本传输协议请求,并响应于所述超文本传输协议请求向所述用户终端发送用于通知所述域名服务器DNS的IP地址被伪造和篡改的通知页面。
9.根据权利要求2所述的网络连接设备,该网络连接设备还包括:
终端访问单元,所述终端访问单元通过电缆连接到所述用户终端以发送和接收数据,接收所述域名服务器DNS查询,并将所接收的域名服务器DNS查询输出到所述伪造和篡改检测器,
其中,所述网络连接器通过电缆连接到所述网络或通过电缆连接到访问所述网络的网络访问设备。
10.根据权利要求2所述的网络连接设备,该网络连接设备还包括:
终端访问单元,所述终端访问单元通过电缆连接到所述用户终端以发送和接收数据,接收所述域名服务器DNS查询,并将所接收的域名服务器DNS查询输出到所述伪造和篡改检测器,
其中,所述网络连接器通过无线通信连接到访问所述网络的网络访问设备。
11.根据权利要求2所述的网络连接设备,该网络连接设备还包括:
终端访问单元,所述终端访问单元以无线方式连接到所述用户终端以发送和接收数据,接收所述域名服务器DNS查询,并将所接收的域名服务器DNS查询输出到所述伪造和篡改检测器,
其中,所述网络连接器连接到通过无线通信访问所述网络的网络访问设备。
12.根据权利要求2所述的网络连接设备,该网络连接设备还包括:
存储器,所述存储器用于形成加密存储空间;和
存储访问控制器,所述存储访问控制器用于在从所述用户终端接收到包括访问所述存储器的请求的协议请求分组时,确定包括在所述协议请求分组中的URL和目的地IP地址是否与可靠的正常网站对应,并且当包括在所述协议请求分组中的URL和目的地IP地址与可靠的正常网站对应时,准许访问所述存储器的请求。
13.根据权利要求1所述的网络连接设备,其中,
所述网络连接设备被实现为小型便携式设备。
14.根据权利要求1所述的网络连接设备,其中,
所述网络连接设备被实现为网络访问设备的用于允许访问所述网络的附加配置。
15.一种中央管理服务器,该中央管理服务器包括:
收集器,所述收集器用于收集由可靠的域名服务器DNS接收的域名服务器DNS查询分组的信息;
控制器,所述控制器用于通过有线或无线通信从连接到用户终端的网络连接设备接收域名服务器DNS查询的传输信息,并比较收集到的信息和传输信息以确定由所述网络连接设备发送的域名服务器DNS查询分组是否被可靠的域名服务器DNS正常地接收;和
通信器,所述通信器用于从所述网络连接设备接收所述域名服务器DNS查询的传输信息,将所述域名服务器DNS查询的传输信息发送到所述控制器,并且将所述控制器的确定结果通知给所述网络连接设备。
16.根据权利要求15所述的中央管理服务器,其中,
所述可靠的域名服务器DNS连接到用于监视通信路径上的业务的测试访问端口TAP设备,并且
所述收集器收集来自所述TAP设备的域名服务器DNS查询分组的信息。
17.根据权利要求15所述的中央管理服务器,其中,
所述通信器与所述网络连接设备执行加密通信以接收包括所述域名服务器DNS查询的事务ID、查询名称和源端口的传输信息。
18.一种连接到用户终端和网络的网络连接设备的网络连接方法,该网络连接方法包括以下步骤:
允许所述网络连接设备从所述用户终端接收域名服务器DNS查询;以及
通过所述网络将所述域名服务器DNS查询发送到预先知晓并且可靠的域名服务器DNS的IP地址。
19.根据权利要求18所述的网络连接方法,该网络连接方法还包括以下步骤:
测试所述域名服务器DNS查询的目的地IP地址;
确定所述目的地IP地址是否是所述可靠的域名服务器DNS的IP地址;以及
当所述IP地址不是所述可靠的域名服务器DNS的IP地址时,将所述目的地IP地址改变为所述可靠的域名服务器DNS的IP地址。
20.根据权利要求18所述的网络连接方法,该网络连接方法还包括以下步骤:
在通过所述网络进行传输以后:
将所述域名服务器DNS查询的传输信息发送到中央管理服务器;
确定所述域名服务器DNS查询是否从所述中央管理服务器被正常发送至所述可靠的域名服务器DNS;并且
当确定所述域名服务器DNS查询没有被正常发送时,阻止所述用户终端访问所述网络。
21.根据权利要求20所述的网络连接方法,其中,
阻止所述用户终端访问所述网络的步骤包括以下步骤:
绕过从所述用户终端接收的超文本传输协议请求,并且响应于所述超文本传输协议请求,向所述用户终端发送用于通知所述域名服务器DNS的IP地址被伪造和篡改的通知页面。
22.根据权利要求21所述的网络连接方法,该网络连接方法还包括以下步骤:
在阻止所述用户终端访问所述网络之后:
从所述用户终端接收包括访问作为加密存储空间的存储器的请求的协议请求分组;
确定所述协议请求分组的URL和目的地IP地址是否与可靠的正常网站对应;并且
当所述协议请求分组的URL和所述目的地IP地址与所述正常网站对应时,准许访问所述存储器的所述请求,并且当所述协议请求分组的URL和所述目的地IP地址与所述正常网站不对应时,拒绝访问所述存储器的所述请求。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR10-2015-0114948 | 2015-08-13 | ||
| KR1020150114948A KR101702102B1 (ko) | 2015-08-13 | 2015-08-13 | 인터넷 연결 장치, 중앙 관리 서버 및 인터넷 연결 방법 |
| PCT/KR2016/008893 WO2017026840A1 (ko) | 2015-08-13 | 2016-08-12 | 인터넷 연결 장치, 중앙 관리 서버 및 인터넷 연결 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108028847A true CN108028847A (zh) | 2018-05-11 |
Family
ID=57983353
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680056458.6A Pending CN108028847A (zh) | 2015-08-13 | 2016-08-12 | 互联网连接设备、中央管理服务器和互联网连接方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20180227763A1 (zh) |
| KR (1) | KR101702102B1 (zh) |
| CN (1) | CN108028847A (zh) |
| WO (1) | WO2017026840A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20210203671A1 (en) * | 2018-09-18 | 2021-07-01 | Hewlett-Packard Development Company, L.P. | Adaptive domain name system |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109120584B (zh) * | 2018-06-19 | 2020-07-24 | 上海交通大学 | 基于UEFI和WinPE的终端安全防范方法及系统 |
| JP6766110B2 (ja) * | 2018-09-20 | 2020-10-07 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 制御装置、制御方法、及びプログラム |
| CN112040027B (zh) * | 2020-09-14 | 2023-06-16 | 网易(杭州)网络有限公司 | 一种数据处理的方法及装置、电子设备、存储介质 |
| CN114978942B (zh) * | 2022-05-13 | 2024-05-24 | 深信服科技股份有限公司 | 一种路由器检测方法、装置及电子设备和存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100318681A1 (en) * | 2009-06-12 | 2010-12-16 | Barracuda Networks, Inc | Protocol-independent, mobile, web filter system provisioning dns triage, uri scanner, and query proxy services |
| US8234705B1 (en) * | 2004-09-27 | 2012-07-31 | Radix Holdings, Llc | Contagion isolation and inoculation |
| CN102783119A (zh) * | 2012-05-25 | 2012-11-14 | 华为终端有限公司 | 访问控制方法、系统及接入终端 |
| CN103269389A (zh) * | 2013-06-03 | 2013-08-28 | 北京奇虎科技有限公司 | 检查和修复恶意dns设置的方法和装置 |
| US20130283385A1 (en) * | 2012-04-24 | 2013-10-24 | Paul Michael Martini | Restricting communication over an encrypted network connection to internet domains that share common ip addresses and shared ssl certificates |
| CN106331215A (zh) * | 2016-08-30 | 2017-01-11 | 常州化龙网络科技股份有限公司 | 数据请求的处理系统及其处理方法 |
Family Cites Families (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6591306B1 (en) * | 1999-04-01 | 2003-07-08 | Nec Corporation | IP network access for portable devices |
| US20020032799A1 (en) * | 2000-05-02 | 2002-03-14 | Globalstar L.P. | Deferring DNS service for a satellite ISP system using non-geosynchronous orbit satellites |
| TW200529623A (en) * | 2004-01-14 | 2005-09-01 | Nec Corp | Communication encryption method, communication encryption system, terminal device, DNS server and program |
| EP1718034A1 (en) * | 2005-04-25 | 2006-11-02 | Thomson Multimedia Broadband Belgium | Process for managing resource address requests and associated gateway device |
| KR100663546B1 (ko) * | 2005-07-08 | 2007-01-02 | 주식회사 케이티 | 악성 봇 대응 방법 및 그 시스템 |
| US20070192858A1 (en) * | 2006-02-16 | 2007-08-16 | Infoexpress, Inc. | Peer based network access control |
| US20080162724A1 (en) * | 2006-12-29 | 2008-07-03 | Nokia Corporation | Direct domain name service query |
| US7991910B2 (en) * | 2008-11-17 | 2011-08-02 | Amazon Technologies, Inc. | Updating routing information based on client location |
| US8316440B1 (en) * | 2007-10-30 | 2012-11-20 | Trend Micro, Inc. | System for detecting change of name-to-IP resolution |
| US7930428B2 (en) * | 2008-11-11 | 2011-04-19 | Barracuda Networks Inc | Verification of DNS accuracy in cache poisoning |
| KR101223931B1 (ko) * | 2011-01-28 | 2013-02-05 | 주식회사 코닉글로리 | Dns 패킷을 이용한 실시간 비정상 행위 탐지 방법 |
| KR101351998B1 (ko) * | 2011-03-30 | 2014-01-15 | 주식회사 케이티 | 봇넷 탐지 방법 및 장치 |
| US8595818B2 (en) * | 2011-06-01 | 2013-11-26 | Raytheon Bbn Technologies Corp. | Systems and methods for decoy routing and covert channel bonding |
| US9485214B2 (en) * | 2012-05-31 | 2016-11-01 | Red Hat, Inc. | Use of reversed DNS records for distributed mapping of asymmetric cryptographic keys to custom data |
| US9357386B2 (en) * | 2012-06-29 | 2016-05-31 | Futurewei Technologies, Inc. | System and method for femto ID verification |
| US9621582B1 (en) * | 2013-12-11 | 2017-04-11 | EMC IP Holding Company LLC | Generating pharming alerts with reduced false positives |
| US9729558B2 (en) * | 2014-02-21 | 2017-08-08 | The Regents Of The University Of Michigan | Network maliciousness susceptibility analysis and rating |
| KR101522139B1 (ko) * | 2014-05-26 | 2015-05-20 | 플러스기술주식회사 | DNS 서버 선별 차단 및 Proxy를 이용한 DNS 주소 변경 방법 |
| KR101541244B1 (ko) * | 2014-06-30 | 2015-08-06 | 플러스기술주식회사 | Pc 및 공유기 등의 dns 변조를 통한 파밍 공격 방지 방법 및 시스템 |
| US9729565B2 (en) * | 2014-09-17 | 2017-08-08 | Cisco Technology, Inc. | Provisional bot activity recognition |
| US20160255012A1 (en) * | 2015-02-26 | 2016-09-01 | Check Point Software Technologies Ltd. | Method for mitigation of unauthorized data transfer over domain name service (dns) |
| US10015094B1 (en) * | 2015-06-19 | 2018-07-03 | Amazon Technologies, Inc. | Customer-specified routing policies |
-
2015
- 2015-08-13 KR KR1020150114948A patent/KR101702102B1/ko active IP Right Grant
-
2016
- 2016-08-12 WO PCT/KR2016/008893 patent/WO2017026840A1/ko active Application Filing
- 2016-08-12 US US15/752,488 patent/US20180227763A1/en not_active Abandoned
- 2016-08-12 CN CN201680056458.6A patent/CN108028847A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8234705B1 (en) * | 2004-09-27 | 2012-07-31 | Radix Holdings, Llc | Contagion isolation and inoculation |
| US20100318681A1 (en) * | 2009-06-12 | 2010-12-16 | Barracuda Networks, Inc | Protocol-independent, mobile, web filter system provisioning dns triage, uri scanner, and query proxy services |
| US20130283385A1 (en) * | 2012-04-24 | 2013-10-24 | Paul Michael Martini | Restricting communication over an encrypted network connection to internet domains that share common ip addresses and shared ssl certificates |
| CN102783119A (zh) * | 2012-05-25 | 2012-11-14 | 华为终端有限公司 | 访问控制方法、系统及接入终端 |
| CN103269389A (zh) * | 2013-06-03 | 2013-08-28 | 北京奇虎科技有限公司 | 检查和修复恶意dns设置的方法和装置 |
| CN106331215A (zh) * | 2016-08-30 | 2017-01-11 | 常州化龙网络科技股份有限公司 | 数据请求的处理系统及其处理方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20210203671A1 (en) * | 2018-09-18 | 2021-07-01 | Hewlett-Packard Development Company, L.P. | Adaptive domain name system |
Also Published As
| Publication number | Publication date |
|---|---|
| US20180227763A1 (en) | 2018-08-09 |
| WO2017026840A1 (ko) | 2017-02-16 |
| KR101702102B1 (ko) | 2017-02-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108028847A (zh) | 互联网连接设备、中央管理服务器和互联网连接方法 | |
| CN103634786B (zh) | 一种无线网络的安全检测和修复的方法与系统 | |
| JP5624973B2 (ja) | フィルタリング装置 | |
| WO2018095192A1 (zh) | 网站攻击的检测和防护方法及系统 | |
| CN104333567B (zh) | 采用安全即服务的web缓存 | |
| CN106302346A (zh) | Api调用的安全认证方法、装置、系统 | |
| EP3085020B1 (en) | Security gateway for a regional/home network | |
| CN108259425A (zh) | 攻击请求的确定方法、装置及服务器 | |
| EP2634989A1 (en) | Mobile terminal to detect network attack and method thereof | |
| CN107809433A (zh) | 资产管理方法及装置 | |
| CN106850642A (zh) | 用于直接访问网络的网络位置确定 | |
| CN105430011A (zh) | 一种检测分布式拒绝服务攻击的方法和装置 | |
| CN102752303B (zh) | 一种基于旁路的数据获取方法及系统 | |
| CN106657035B (zh) | 一种网络报文传输方法及装置 | |
| EP4167524A1 (en) | Local network device connection control | |
| CN106888184A (zh) | 移动终端支付类应用程序安全支付方法及装置 | |
| CN108156092A (zh) | 报文传输控制方法和装置 | |
| CN110417747A (zh) | 一种暴力破解行为的检测方法及装置 | |
| CN108234516B (zh) | 一种网络泛洪攻击的检测方法及装置 | |
| CN106790073B (zh) | 一种Web服务器恶意攻击的阻断方法、装置及防火墙 | |
| CN106789858A (zh) | 一种访问控制方法和装置以及服务器 | |
| CN106411819A (zh) | 一种识别代理互联网协议地址的方法及装置 | |
| CN103812859B (zh) | 网络准入方法、终端准入方法、网络准入装置和终端 | |
| CN107040401A (zh) | 具安全与功能扩充性的有线局域网络用户管理系统及方法 | |
| JP6870386B2 (ja) | マルウェア不正通信対処システム及び方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20180511 |